Azure Key Vault 开发人员指南
使用 Azure Key Vault 可以从应用程序中安全地访问敏感信息:
- 无需自己编写代码即可保护密钥、机密和证书,并且能够轻松地在应用程序中使用它们。
- 允许客户拥有和管理自己的密钥、机密和证书,以便你可以专注于提供核心软件功能。 这样,应用程序便不会对客户的租户密钥、机密和证书承担职责或潜在责任。
- 应用程序可以使用密钥进行签名和加密,不过需要使密钥管理与应用程序分开。 有关详细信息,请参阅关于密钥。
- 可以通过将凭据(如密码、访问密钥和 SAS 令牌)作为机密存储在 Key Vault 中来对其进行管理。 有关详细信息,请参阅关于机密。
- 管理证书。 有关详细信息,请参阅关于证书。
有关 Azure Key Vault 的常规信息,请参阅关于 Azure Key Vault。
公共预览版
我们会定期发布新 Key Vault 功能的公共预览版。 欢迎试用公共预览功能,并通过反馈电子邮件地址 azurekeyvault@microsoft.com 将你的想法告诉我们。
创建和管理密钥保管库
与其他 Azure 服务一样,Key Vault 通过 Azure 资源管理器进行管理。 Azure 资源管理器是 Azure 的部署和管理服务。 可以使用它来创建、更新和删除 Azure 帐户中的资源。
Azure 基于角色的访问控制 (RBAC) 可控制对管理层(也称为管理平面)的访问。 在 Key Vault 中使用管理平面来创建和管理密钥保管库及其属性(包括访问策略)。 使用数据平面来管理密钥、证书和机密。
可以使用预定义的 Key Vault 参与者角色来授予对 Key Vault 的管理访问权限。
用于密钥保管库管理的 API 和 SDK
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| 引用 快速入门 |
引用 快速入门 |
引用 | 引用 快速入门 |
引用 | 引用 | 引用 | 引用 |
有关安装包和源代码,请参阅客户端库。
在代码中对 Key Vault 进行身份验证
Key Vault 使用 Microsoft Entra 身份验证,这需要 Microsoft Entra 安全主体授予访问权限。 Microsoft Entra 安全主体可以是用户、应用程序服务主体、Azure 资源的托管标识,也可以是任何这些类型的组。
身份验证最佳做法
建议使用部署到 Azure 的应用程序的托管标识。 如果使用不支持托管标识的 Azure 服务或应用程序是在本地部署的,则可以选择具有证书的服务主体。 在这种情况下,证书应存储在 Key Vault 中并频繁轮换。
将具有机密的服务主体用于开发和测试环境。 使用用户主体进行本地开发。
建议在每个环境中使用这些安全主体:
- 生产环境:托管标识或具有证书的服务主体。
- 测试和开发环境:托管标识、具有证书的服务主体或具有机密的服务主体。
- 本地开发:具有机密的用户主体或服务主体。
Azure 标识客户端库
上述身份验证方案由 Azure 标识客户端库提供支持,并与 Key Vault SDK 集成在一起。 无需更改代码,即可跨环境和平台使用 Azure 标识客户端库。 库会自动从通过 Azure CLI、Visual Studio、Visual Studio Code 和其他方式登录到 Azure 用户的用户中检索身份验证令牌。
有关 Azure 标识客户端库的详细信息,请参阅:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure 标识 SDK .NET | Azure 标识 SDK Python | Azure 标识 SDK Java | Azure 标识 SDK JavaScript |
注意
建议 Key Vault .NET SDK 版本 3 使用应用身份验证库,但该版本现已弃用。 若要迁移到 Key Vault .NET SDK 版本 4,请遵循 AppAuthentication 到 Azure.Identity 的迁移指南。
有关如何在应用程序中对 Key Vault 进行身份验证的教程,请参阅:
- 将 Azure Key Vault 与通过 .NET 编写的虚拟机配合使用
- 将 Azure Key Vault 与通过 Python 编写的虚拟机配合使用
- 使用托管标识将 Key Vault 连接到 .NET 中的 Azure Web 应用
管理密钥、证书和机密
注意
适用于 .NET、Python、Java、JavaScript、PowerShell 和 Azure CLI 的 SDK 是通过公共预览版和正式版在保管库服务团队支持下发布密钥保管库功能过程的一部分。 可以使用适用于密钥保管库的其他 SDK 客户端,但它们由各个 SDK 团队通过 GitHub 生成和提供支持,并在其团队计划中发布。
数据平面可控制对密钥、证书和机密的访问。 可以使用本地保管库访问策略或 Azure RBAC 进行数据平面的访问控制。
用于密钥的 API 和 SDK
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| 引用 快速入门 |
引用 快速入门 |
引用 | 引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
用于证书的 API 和 SDK
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| 引用 快速入门 |
引用 快速入门 |
引用 | 空值 | 引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
用于机密的 API 和 SDK
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| 引用 快速入门 |
引用 快速入门 |
引用 | 引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
引用 快速入门 |
机密用法
使用 Azure Key Vault 仅存储应用程序机密。 应存储在 Key Vault 中的机密示例包括:
- 客户端应用程序机密
- 连接字符串
- 密码
- 共享访问密钥
- SSH 密钥
任何与机密相关的信息(如用户名和应用程序 ID)都可以作为标记存储在机密中。 对于任何其他敏感配置设置,应使用 Azure 应用配置。
参考
有关安装包和源代码,请参阅客户端库。
有关 Key Vault 数据平面安全性的信息,请参阅 Azure Key Vault 安全功能。
在应用程序中使用 Key Vault
要利用 Key Vault 中的最新功能,建议使用现有的 Key Vault SDK 以在应用程序中使用机密、证书和密钥。 Key Vault SDK 和 REST API 进行了更新,是该产品发布的新功能,它们遵循最佳做法和指导原则。
对于基本方案,还有其他简化使用的库和集成解决方案,由 Azure 合作伙伴或开源社区提供支持。
对于证书,可以使用:
- Key Vault 虚拟机 (VM) 扩展,它自动刷新 Azure Key Vault 中存储的证书。 有关详细信息,请参阅:
对于机密,可以使用:
- Key Vault 机密,用于应用服务应用程序设置。 有关详细信息,请参阅使用应用服务和 Azure Functions 的 Key Vault 引用。
- Key Vault 机密与应用程序配置服务,用于托管在 Azure VM 中的应用程序。 有关详细信息,请参阅使用应用程序配置和 Key Vault 配置应用程序。
代码示例
有关将 Key Vault 用于应用程序的完整示例,请参阅 Azure Key Vault 代码示例。
任务特定指南
以下文章和方案提供了特定于任务的指导,方便用户使用 Azure Key Vault:
- 要访问密钥保管库,客户端应用程序应能够访问各种功能的多个终结点。 请参阅访问防火墙保护下的 Key Vault。
- 在 Azure VM 中运行的云应用程序需要证书。 如何将此证书部署到此 VM 中? 请参阅适用于 Windows 的 Key Vault 虚拟机扩展和适用于 Linux 的 Key Vault 虚拟机扩展。
- 若要使用 Azure CLI、PowerShell 或 Azure 门户分配访问策略,请参阅分配 Key Vault 访问策略。
- 有关启用了软删除的密钥保管库和各种密钥保管库对象的使用和生命周期的指导,请参阅通过软删除和清除保护实现 Azure Key Vault 恢复管理。
- 需要在部署期间以参数形式传递安全值(例如密码)时,可以将该值存储为密钥保管库中的机密,然后在其他资源管理器模板中引用该值。 请参阅在部署过程中使用 Azure Key Vault 传递安全参数值。
与 Key Vault 集成
以下服务和方案使用 Key Vault 或与 Key Vault 集成:
- 静态加密允许在持久保存数据时对数据进行编码(加密)。 数据加密密钥通常由 Azure Key Vault 中的密钥加密密钥进行加密,以进一步限制访问。
- Azure 信息保护允许管理自己的租户密钥。 例如,你可以管理自己的租户密钥以遵守适用于你的组织的特定法规,而不是由 Azure 管理你的租户密钥(默认设置)。 管理自己的租户密钥也称为自带密钥 (BYOK)。
- 使用 Azure 专用链接,可以通过虚拟网络中的专用终结点访问 Azure 服务(例如 Azure Key Vault、Azure 存储和 Azure Cosmos DB)以及 Azure 托管的客户服务/合作伙伴服务。
- 通过将 Key Vault 与 Azure 事件网格集成,用户可以在密钥保管库中存储的机密的状态发生更改时收到通知。 可以将新版本的机密分发到应用程序,也可以轮换即将到期的机密,以防止中断。
- 防止自己的 Azure DevOps 机密在 Key Vault 中被意外访问。
- 使用 Key Vault 中存储的机密从 Azure Databricks 连接到 Azure 存储。
Key Vault 概述和概念
若要了解:
- 可以恢复已删除的对象的功能(不管是有意还是无意删除),请参阅 Azure Key Vault 软删除概述。
- 限制的基本概念并获得针对应用的限制方法,请参阅 Azure Key Vault 限制指南。